Jump to content

Maximale Anzahl der Gruppen per User?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus,

 

kennt jemand das Limit im AD, wie vielen Gruppen ein User im AD zugeordnet sein kann? Gibt es ein Limit?

 

der Benutzer kann zwar in beliebig vielen Gruppen Mitglied sein,

aber in das Access-Token des Benutzer können maximal 1.024 SIDs eingetragen werden.

 

Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication

 

Tatsächlich kann es aber schon weit unter dem Wert (1.024) zu Problemen kommen.

 

 

Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen.

 

New resolution for problems with Kerberos authentication when users belong to many groups

Group Policy may not be applied to users belonging to many groups

 

Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen.

Noch dazu kommt noch unter Windows Server 2003, dass die SID-History dazu zählt.

 

Microsoft Corporation

Link zu diesem Kommentar

Tach,

 

unter Windows 2000 kann eine Gruppe max. 5.000 Benutzer enthalten.

Die Gruppenmitgliedschaften sind ein "multi-valued" Attribut im Active Directory. Das bedeutet konkret, wenn z.B. eine Gruppe mit 5.000 Benutzern geändert wird, wird die komplette Gruppe zwischen den DCs repliziert und nicht etwa der geänderte Wert (also das Delta). Es wird dann jedesmal das Attribut Member des Gruppen-Objekts mit samt seinen Werten durch die Gegend repliziert.

 

Unter Windows Server 2003 wurde dieses Verhalten verbessert.

Dazu muss sich allerdings der Gesamtstrukturfunktionsmodus im Modus Windows Server 2003 befinden.

Dort wurde "quasi" die Grenze von 5.000 Benutzern aufgehoben.

Die Technik die das ermöglicht, lautet Linked Value Replication (LVR). Hierbei werden lediglich die Deltas repliziert.

 

Die Anzahl von 5.000 ist der von Microsoft supportete Wert und zwar auch unter Windows Server 2003.

Deshalb sollten neue Gruppen mit wesentlich mehr als 5.000 Benutzern per Bach/Skriptweise eingerichtet werden, da es sonst zu "out of version store"-Fehlern führen kann.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...